数据保护的九个维度

第一维度：界面数据隐匿

在用户界面中隐匿数据，使得客户在使用产品时，其隐私数据无法被附近位置的恶意第三方所窥视。

作为数据内容保护合规中最容易满足的一个需求，直接的界面渲染操作，如简单的显示打码、数据截断等都是有效的技术手段。

然而，它往往也是最容易因为忽视而出现隐私事故的一个维度。尤其是在多个敏感数据字段同时显示的前提下，若隐匿技术使用不当，可能等同于没有任何隐匿效果。

第二维度：网络数据隐匿

在网络维度上隐匿数据，使得隐私数据在传输过程中，无法被恶意第三方截获明文。

经典的传输层安全TLS/SSL系列协议，都可以满足这一需求。但需要注意，这类协议的安全性，依赖可信公钥数字证书服务的正常运行，一旦该服务受到攻击，可能会导致证书造假、证书过期等，最终影响到现有业务的安全性和可用性。

第三维度：域内计算数据隐匿

在同一个计算域内，如由企业完全掌控和部署的云计算环境，任何隐私数据的明文，在计算和存储过程中，都不离开安全隔离环境，防止企业存在内鬼进行未授权的隐私数据访问。

隐私数据只有在安全隔离计算环境中，才会被解密成明文，在安全隔离计算环境之外，只能进行密文运算，并以密文形式存储在介质中。这里需要用到可信硬件或者软件隔离来构建安全隔离计算环境，它们分别依赖不同的安全假设，需要根据业务的特性来进行选择。

第四维度：跨域计算数据隐匿

隐私数据的明文只在同一个计算域内出现，在与其他计算域进行联合计算时，其他计算域的控制方无法直接访问或间接推测出隐私数据的明文，防止其他合作方获得合作协议授权之外的敏感隐私数据。

作为数据内容保护合规中最具挑战性的需求，其对于以医疗数据、金融数据等高度敏感数据业务尤为重要。如果无法满足合规要求，通常意味着业务无法开展或者面临巨额罚金。而且可能会出现双向判罚，即企业不仅会因为自身方案漏洞导致隐私数据泄露而受罚，还会因利用合作方企业的方案漏洞违规获取未授权的敏感隐私数据而受罚。

为了避免相关隐私合规事故，可采用的通用技术方案包括数据脱敏、安全多方计算、数据外包计算、零知识证明等。在涉及机器学习的特定场景下，联邦计算等新兴技术可以提供更为有效的方案效果。

第五维度：数据访问通告

数据访问通告是指，让客户了解当前业务会收集哪些隐私数据、为什么需要这些数据、将会如何使用这些数据、将以什么方式保存这些数据、保存期多久等隐私数据流通生命周期的细节。作为数据权利保障合规中最基础的需求，它保障了客户的知情权。

满足该需求的难点在于，如何让客户理解晦涩的技术语言、理解相关隐私风险的后果，避免相关监管机构以混淆客户理解为由，判定企业违规。

进行用户体验和人机交互技术的研究，是处理好这一需求的关键。适度采用基于机器学习的自动风险匹配是近年来业界比较推崇的技术，简化客户理解成本，帮助其更理性地评估对应业务的潜在风险。

第六维度：数据收集控制

数据收集控制是指，允许客户选择哪些隐私数据会被业务系统所收集，并在初始选择之后，允许对未来的数据收集选择进行调整。由于数据收集作为隐私数据流通生命周期的起始点，该需求能够赋予客户对于自身隐私数据流通的全局控制权。

对于客户不愿意分享的隐私数据，在数据收集控制机制的作用下，无法以未授权的方式进入业务系统，以此营造客户的心理安全感。传统的访问控制技术可以很好地实现这一需求，但若原系统架构设计扩展性不佳，相关历史系统改造将是一项巨大的工程挑战。

第七维度：数据使用控制

数据使用控制是指，允许客户对于特定的业务系统中使用隐私数据的方式进行调整或限制。

原先是GDPR特有的合规需求之一，称之为限制处理权，最新版的《信息安全技术 个人信息安全规范》中也有相关规定，仅对部分业务类型有效。目前主要针对在线广告投放相关的个性化推荐业务，设立的初衷是避免过于个性化推荐引发的个人隐私空间强烈侵入感。

鉴于GDPR巨额罚款机制，这对于相关业务在注重个人隐私的区域的稳健发展十分重要。有效应对该项需求的关键，在于企业能否在系统架构设计早期，为相关隐私数据变动预留空间，减少后期系统改造的代价。

第八维度：衍生数据控制

衍生数据使用控制是指，允许客户对其原始隐私数据在经过变换、聚合后产生的衍生数据有一定的控制权。

这也是GDPR特有的合规需求之一，目前主要表现在两方面：

数据被遗忘权：在客户删除账户之后，清理对应个体历史数据和包含该客户的聚合数据；

数据携带权：客户有离开当前业务平台的意向，打包提取之前所有的相关历史数据，如电子邮件、评论留言、云主机数据等。

该项需求的实现，通常也面临着高昂的系统改造代价。建议企业在系统架构设计早期，务必考虑完备的隐私数据溯源机制，为后期改造减少合规成本。

第九维度：数据影响力复议

数据影响力复议是指，允许客户对基于其隐私数据产生的业务决策进行复议，由此更正自动化决策系统可能做出的不公平判断，消除数据歧视等负面影响。

这可能是权利数据保障合规中最具挑战性的需求，其关注点在于数据驱动决策系统设计的可解释性，并限制难以解释的机器学习模型在民生、医疗等关键领域的应用。这就要求企业在研发自动化决策系统设计时，研发具备较高解释能力的决策模型，或者提供备选技术方案，减少误判导致的合规成本。